Fomos atingidos pelo Cryptolocker há cerca de um mês e nunca tivemos a auditoria de arquivos configurada, então não havia como identificar de qual usuário ele se originou.
Entrei em Ferramentas administrativas > Política de segurança local > Política local > Política de auditoria > e habilitei sucesso e falha no acesso a objetos.
Em seguida, fui para as configurações de auditoria da pasta raiz das unidades compartilhadas e selecionei "Usuários do domínio" monitorados para Gravar atributos, Excluir e Excluir subpastas e arquivos.
Mas o log de eventos é inundado com o evento "Compartilhamento de arquivo detalhado" 5145, "Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado"
Eu realmente não preciso ver esses eventos, e só quero rastrear se um arquivo foi modificado, caso sejamos atingidos pelo cryptolocker novamente. Há algo mais que preciso fazer para obter apenas esse tipo de evento?
Existe uma ferramenta que faz um trabalho melhor do que o Log de Eventos do Windows?
Responder1
Ao usar as configurações de auditoria herdadas localizadas em:
Configurações do Windows > Configurações de segurança > Políticas locais > Política de auditoria > Acesso a objetos, isso é muito grosseiro e pode criar muito ruído, dependendo dos objetos que podem ter a auditoria habilitada.
Se você definir a auditoria herdada como Não configurada e ativar a Auditoria avançada localizada em:
Configurações do Windows > Configurações de segurança > Políticas locais > Configuração avançada de política de auditoria > Acesso a objetos
Você pode ativar apenas as subcategorias necessárias, neste caso Sistema de Arquivos.
Em seguida, no sistema de arquivos, habilite apenas os tipos de auditoria necessários nas pastas de nível superior:
